Viren, Spyware, Datenschutz 11.259 Themen, 94.815 Beiträge

Verfolgung starten Optionen

Meine Website wird als Spam-Versender missbraucht

Glasfrau / 8 Antworten / Baumansicht Nickles

Hallo allerseits, vielleicht kann mir hier jemand helfen:
Seit etwa drei Wochen wird mein Postfach überschwemmt mit Mailrückläufern von Spammails, der Absender des Spams sind Fantasie-Adressen der Vereinswebsite (www.frankfurt-west.de), die ich zusammen mit einem Vereinskollegen betreue. Die Website wird bei Strato gehostet, und wir haben nur drei Mailadressen dort überhaupt eingerichtet. Die Rückläufer sind nicht von diesen drei, sondern von nicht existenten Adressen (z.B. xyjfwv@frankfurt-west.de). Ich habe als erste Maßnahme das Password geändert, für die Seite allgemein und für die drei Mailadressen, dann hab ich meinen Virenscanner aktualisiert (AntiVir) und zweimal über das ganze System laufen lassen, es hilft alles nichts.
Strato hab ich um Hilfe angemailed, wohl wegen dem langen Wochenende hab ich bisher noch keine Antwort.
Mein PC ist eine uralte AMD-Maschine, die noch mit Windows 98 läuft. Ich mag der alten Kiste keine Neu-Installation zumuten.

Kann mir jemand helfen? Ich wäre wirklich dankbar.

bei Antwort benachrichtigen
mmk Glasfrau „Meine Website wird als Spam-Versender missbraucht“
Optionen

Hallo,

das liegt sehr wahrscheinlich an den Standard-Formmail-CGI's von Strato - diese werden von Spammern missbraucht. Soweit ich sehe, hast Du diese jedoch nicht in Verwendung, also es ist kein Formmailer bzw. Gästebuch aktiv. Richtig?

Dennoch können die Spammer leider darauf zugreifen. Kannst Du per FTP auf das CGI-Verzeichnis zugreifen und das Formmail-Modul löschen? Oder über das Strato-Kundenmenü deaktivieren?

bei Antwort benachrichtigen
Glasfrau mmk „Hallo, das liegt sehr wahrscheinlich an den Standard-Formmail-CGI s von Strato -...“
Optionen

Hoppaa, ganz neue Idee! Danke für den Tipp, die CGI's hatte ich bisher nie benutzt - ich habe den Webmasterposten sozusagen "geerbt" und mir alles selbst beigebracht.

Löschen lässt sich das Modul scheinbar nicht, aber im Kundenmenü war noch eine alte ID mit dem Vornamen meines Amtsvorgängers drin, da hab ich jetzt das Password geändert.

Ich gebe hier Bescheid, ob es geholfen hat.

bei Antwort benachrichtigen
mmk Glasfrau „Hoppaa, ganz neue Idee! Danke für den Tipp, die CGI s hatte ich bisher nie...“
Optionen

Ich fürchte, allein das Ändern des Passworts wird hier nichts bringen.
Poste doch bitte mal den Header dieser Mails, bzw. konkret der Spam-Mails, die in den Nichtzustellbarkeitsmeldungen enthalten sind.

Konkret zielweisend sind dabei Header-Zeilen wie diese:
Received: (from Unknown UID ***@localhost) by chroot.webmailer.de

bei Antwort benachrichtigen
Borlander Glasfrau „Meine Website wird als Spam-Versender missbraucht“
Optionen
Seit etwa drei Wochen wird mein Postfach überschwemmt mit Mailrückläufern von Spammails, der Absender des Spams sind Fantasie-Adressen der Vereinswebsite
Da kannst Du nichts gegen machen, Spamversenden fälschen die Absenderadressen (was absolut wirklich nicht schwierig ist bei eMails), die eMails die nicht angekommen sind bekommst Du als vermeintlicher Absender jetzt zurück :-(

Gruß
Borlander
bei Antwort benachrichtigen
mmk Borlander „ Da kannst Du nichts gegen machen, Spamversenden fälschen die Absenderadressen...“
Optionen

Doch, in diesem speziellen Fall kann und sollte man sogar etwas dagegen unternehmen. Denn es ist ein Unterschied, ob einfach nur eine Domain als Absender eingesetzt wird und von einem fremden Server die Spam-Mails verschickt werden, oder ob direkt über den Server der Domain unter Ausnutzung einer Sicherheitslücke desselben solche Spams verbreitet werden.

[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
xafford Glasfrau „Meine Website wird als Spam-Versender missbraucht“
Optionen

Post hier einmal bitte ein paar der Rückläufermails inklusive deren Header um mal nachzuschauen, woher dei Ursprungsmails eigentlich kamen. Ich bezweifle nämlich stark, daß diese mails wirklich über deinen Provider und somit deiner Domain verschickt wurden, viel wahrscheinlicher ist Borlanders Vermutung, daß es sich um simples Fälschen der Absenderadresse handelt. Letztendlich wissen kann man das aber nur anhand der Mailheader.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Glasfrau xafford „Post hier einmal bitte ein paar der Rückläufermails inklusive deren Header um...“
Optionen

Strato hat jetzt geantwortet, man könne da nix machen, ich soll halt die "Catch all"-Funktion rausnehmen. Das ist aber irgendwie so wie "guck einfach nicht hin". Mir stinkt es, dass unsere Seite mit dem Müll in Verbindung gebracht wird.

Hier mal zwei komplette Mails als Beispiel. Ich kann damit nicht viel anfangen, aber vielleicht ein paar der Cracks hier.

--------------------
Nummer 1
-------------------

Return-Path:
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de
[172.20.27.74])
by mhead07 with LMTP; Tue, 02 May 2006 08:18:07 +0200
X-Sieve: CMU Sieve 2.2
Received: from natbertie.rzone.de ([81.169.145.182]) by
mailin21.sul.t-online.de
with esmtp id 1FaoCt-2DxbJQ0; Tue, 2 May 2006 08:17:59 +0200
Received: from SWOCAI.SWOCA.NET (swocai.swoca.net [156.63.126.15])
by mailin.webmailer.de (8.13.6/8.13.6) with ESMTP id k426HvIa022909
for

bei Antwort benachrichtigen
xafford Glasfrau „Strato hat jetzt geantwortet, man könne da nix machen, ich soll halt die Catch...“
Optionen

Leider kann man anhand der Mails ncihts mehr erkennen, die Mailheader der Originalmails fehlen leider. Machen kannst Du gegen Mailspoofing leider gar nichts, auch meine Domains werden regelmäßig als Absender für Spam und Viren gespooft, das Beste ist wirklich den Catch-All zu deaktivieren oder entsprechend zu filtern.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen